Koordinierte Risikobewertungen der Lieferkette: Die EU bewertet IKT-Abhängigkeiten

Artikel 22 der NIS2 etabliert koordinierte Risikobewertungen der Lieferkette. Erfahren Sie, wie die EU kritische IKT-Abhängigkeiten bewertet und was dies für Ihren Sektor bedeutet.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 24 Jun 2026 · 7 Min. Lesezeit
NIS2
Koordinierte Risikobewertungen der Lieferkette: Die EU bewertet IKT-Abhängigkeiten

Wer sollte das lesen: Risikomanager, Beschaffungsteams, Lieferkettenspezialisten, sektorale politische Entscheidungsträger, Regierungsvertreter, regulierte Einrichtungen.

Die NIS2-Richtlinie führt einen neuartigen Governance-Mechanismus ein: koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten auf Unionsebene. Diese Bewertungen sind keine Compliance-Anforderungen, die einzelnen Einrichtungen auferlegt werden; vielmehr handelt es sich um strategische Bewertungen, die von der Kooperationsgruppe, der Kommission und der ENISA durchgeführt werden, um systemische Abhängigkeiten, Schwachstellen und Risiken in den Lieferketten kritischer IKT-Dienste, -Systeme und -Produkte zu identifizieren. Die Ergebnisse dieser Bewertungen informieren die sektorale Politik, beeinflussen Beschaffungsentscheidungen und leiten Investitionen in Resilienz an. Dieser Beitrag erläutert die Begründung für koordinierte Bewertungen, wie sie funktionieren und wie sie regulierte Einrichtungen und Lieferketten betreffen.

Die Begründung ist klar: Einzelne Organisationen sind nicht gut positioniert, um Risiken über gesamte Lieferketten hinweg zu bewerten. Ein Telekommunikationsbetreiber weiß möglicherweise, von welchen Anbietern er kauft, kann aber nicht ohne Weiteres die Anbieter dieser Anbieter oder die geopolitischen Risiken, die diese Anbieter betreffen, bewerten. Ein Finanzinstitut kann nicht vorhersagen, welche Halbleiterhersteller mit Lieferunterbrechungen konfrontiert sein werden oder welche Softwareanbieter von ausländischen Einrichtungen übernommen werden. Dennoch sind diese systemischen Risiken enorm wichtig. Ein Single-Point-of-Failure in einer kritischen Lieferkette kann sich sektorenübergreifend auswirken. Deshalb ermächtigt Artikel 22 der NIS2-Richtlinie die Kooperationsgruppe in Zusammenarbeit mit der Kommission und der ENISA, koordinierte Bewertungen durchzuführen.

Artikel 22 und der Koordinationsrahmen

Artikel 22 der NIS2-Richtlinie ist in seinen Details knapp: „Die Kooperationsgruppe kann in Zusammenarbeit mit der Kommission und der ENISA koordinierte Sicherheitsrisikobewertungen spezifischer Lieferketten kritischer IKT-Dienste, IKT-Systeme oder IKT-Produkte durchführen, wobei technische und, falls relevant, nichttechnische Risikofaktoren zu berücksichtigen sind.”

Dies schafft einen flexiblen Rahmen. Die Kooperationsgruppe (ein Gremium, das sich aus Vertretern jedes Mitgliedstaats zusammensetzt) ist befugt, Bewertungen zu initiieren. Sie arbeitet mit der ENISA (der Agentur der Europäischen Union für Cybersicherheit) und der Kommission zusammen, um sie durchzuführen. Die Bewertungen konzentrieren sich auf „kritische” IKT-Dienste, -Systeme oder -Produkte, ein Begriff, der pragmatisch auf der Grundlage der sektoralen Bedeutung definiert wird. Die Bewertungen untersuchen sowohl technische Risiken (gibt es bekannte Schwachstellen im Produkt?) als auch nichttechnische Risiken (ist der Lieferant geopolitisch mit einem potenziellen Gegner ausgerichtet?).

Erwägungsgrund 90 führt die Begründung aus: „Um die wichtigsten Risiken der Lieferkette weiter anzugehen und wesentlichen und wichtigen Einrichtungen, die in den von dieser Richtlinie erfassten Sektoren tätig sind, zu helfen, Lieferketten- und lieferantenbezogene Risiken angemessen zu verwalten, sollte die Kooperationsgruppe in Zusammenarbeit mit der Kommission und der ENISA und gegebenenfalls nach Konsultation relevanter Interessenträger, einschließlich aus der Industrie, koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten durchführen, wie sie für 5G-Netze nach der Empfehlung der Kommission (EU) 2019/534 durchgeführt wurden, mit dem Ziel, pro Sektor die kritischen IKT-Dienste, IKT-Systeme oder IKT-Produkte, relevante Bedrohungen und Schwachstellen zu identifizieren. Solche koordinierten Sicherheitsrisikobewertungen sollten Maßnahmen, Minderungspläne und bewährte Praktiken identifizieren, um kritischen Abhängigkeiten, potenziellen Single-Points-of-Failure, Bedrohungen, Schwachstellen und anderen mit der Lieferkette verbundenen Risiken entgegenzuwirken, und sollten Wege erkunden, ihre breitere Anwendung durch wesentliche und wichtige Einrichtungen weiter zu fördern.”

Der Bezug auf 5G ist wichtig. Die Kommission veröffentlichte 2020 eine koordinierte Risikobewertung für 5G-Netze und identifizierte, dass Abhängigkeiten von Nicht-EU-Anbietern und die Konzentration von Lieferketten ein systemisches Risiko darstellen. Diese Bewertung führte zu Empfehlungen für die Diversifizierung der Lieferanten, Sicherheitsanforderungen in der Beschaffung und Investitionen in europäische Alternativen. NIS2 formalisiert diesen Ansatz und macht koordinierte Lieferkettenbewertungen zu einer laufenden Governance-Funktion.

Technische und nichttechnische Risikofaktoren

Koordinierte Bewertungen untersuchen sowohl technische als auch nichttechnische Faktoren. Technische Risiken sind Cybersicherheitsfachleuten vertraut: gibt es bekannte Schwachstellen in der Software oder Hardware? Wie schnell patcht der Anbieter Schwachstellen? Wie hoch ist die Qualität des Entwicklungsprozesses? Nichttechnische Risiken sind breiter und umstrittener.

Erwägungsgrund 91 definiert nichttechnische Risikofaktoren: „Um die Lieferketten zu identifizieren, die einer koordinierten Sicherheitsrisikobewertung unterzogen werden sollten, sollten die folgenden Kriterien berücksichtigt werden: (i) das Ausmaß, in dem wesentliche und wichtige Einrichtungen bestimmte kritische IKT-Dienste, IKT-Systeme oder IKT-Produkte nutzen und auf diese angewiesen sind; (ii) die Relevanz bestimmter kritischer IKT-Dienste, IKT-Systeme oder IKT-Produkte für die Ausübung kritischer oder sensibler Funktionen, einschließlich der Verarbeitung personenbezogener Daten; (iii) die Verfügbarkeit alternativer IKT-Dienste, IKT-Systeme oder IKT-Produkte; (iv) die Resilienz der gesamten Lieferkette von IKT-Diensten, IKT-Systemen oder IKT-Produkten während ihres gesamten Lebenszyklus gegenüber disruptiven Ereignissen; und (v) für aufkommende IKT-Dienste, IKT-Systeme oder IKT-Produkte ihre potenzielle künftige Bedeutung für die Tätigkeiten der Einrichtungen.”

Diese Kriterien sind darauf ausgelegt, Engpässe und Konzentrationen zu identifizieren. Wenn 80 % der europäischen Cloud-Dienste auf Speicherhardware eines einzigen Lieferanten angewiesen sind und dieser Lieferant mit einer Störung konfrontiert ist, ist die Auswirkung systemisch. Wenn keine alternativen Produkte existieren, ist das Risiko akut. Wenn eine Lieferkette sich nicht von einer Katastrophe erholen kann, beispielsweise wenn eine Naturkatastrophe an einem einzigen Standort die Produktion weltweit stört, ist die Resilienz gefährdet.

Die Richtlinie verweist auch darauf, dass „besonderes Augenmerk auf IKT-Dienste, IKT-Systeme oder IKT-Produkte gelegt werden sollte, die spezifischen Anforderungen aus Drittländern unterliegen”. Dies ist ein Euphemismus für geopolitisches Risiko. Einige Drittländer, insbesondere China, Russland und Iran, versuchen, versteckte Schwachstellen in IKT-Produkten zur Spionage oder Sabotage einzubetten. Einige Länder beschränken den Export kritischer Technologien oder üben politischen Druck durch die Kontrolle der Lieferkette aus. Koordinierte Bewertungen sollten diese Risiken identifizieren.

Wie Bewertungen durchgeführt werden

Koordinierte Bewertungen folgen einem strukturierten Prozess:

  • Scoping: Die Kooperationsgruppe identifiziert Sektoren und Lieferketten, die einer Bewertung würdig sind. Dies wird durch Bedenken der Mitgliedstaaten, Prioritäten der Kommission, Rückmeldungen der Industrie und die laufende Bedrohungsanalyse der ENISA vorangetrieben.
  • Datenerfassung: Die ENISA und die nationalen Cybersicherheitsbehörden sammeln Informationen über Lieferketten. Dazu gehören die Identifizierung wichtiger Lieferanten, das Verständnis von Abhängigkeiten und die Katalogisierung bekannter Schwachstellen.
  • Konsultation der Interessenträger: Falls angemessen konsultiert das Bewertungsteam Industrieinteressenträger, um die technische Machbarkeit, Kostenauswirkungen und Marktdynamiken zu verstehen.
  • Risikoanalyse: Technische Experten bewerten die Wahrscheinlichkeit und Auswirkungen verschiedener Risiken. Dazu gehören Schwachstellenanalyse, Lieferkettenmodellierung und Szenarioplanung.
  • Identifizierung von Minderungsmaßnahmen: Die Bewertung identifiziert praktische Maßnahmen zur Risikoreduzierung. Diese könnten Folgendes umfassen: Diversifizierung der Lieferanten, Investitionen in inländische oder alliierte Alternativen, Festlegung von Sicherheitsstandards für die Beschaffung, Durchführung von Sicherheitsaudits bei Lieferanten oder Aufbau von Redundanz in Lieferketten.
  • Berichterstattung: Die Ergebnisse der Bewertung werden veröffentlicht, typischerweise mit Empfehlungen für Mitgliedstaaten und regulierte Einrichtungen.

Was geschieht mit den Bewertungsergebnissen?

Koordinierte Bewertungen erlegen einzelnen Einrichtungen keine direkten Verpflichtungen auf. Stattdessen informieren sie die Politik und beeinflussen Compliance-Anforderungen. Wenn beispielsweise eine Bewertung feststellt, dass ein bestimmter Softwareanbieter ein Lieferkettenrisiko darstellt, könnte eine zuständige Behörde eines Mitgliedstaats Leitlinien herausgeben, dass wesentliche und wichtige Einrichtungen ihre Abhängigkeit von diesem Anbieter überprüfen und Notfallpläne entwickeln sollten. Wenn eine Bewertung feststellt, dass die Lieferantenvielfalt in einer bestimmten Technologie gering ist, könnte die Kommission Beschaffungsrichtlinien vorschlagen, die die Lieferantendiversifizierung belohnen oder erfordern.

Bewertungen beeinflussen auch Durchführungsrechtsakte. Die Kommission nutzt die Erkenntnisse aus Bewertungen, um technische und methodische Anforderungen zu gestalten, die für Einrichtungen gelten. Wenn eine Bewertung feststellt, dass eine bestimmte Klasse von IKT-Produkten verstärkten Sicherheitstests unterzogen werden sollte, könnte diese Anforderung in Durchführungsrechtsakten der Kommission erscheinen.

Für regulierte Einrichtungen liefern Bewertungen wertvolle Informationen für das Lieferkettenrisikomanagement. Artikel 21 der NIS2-Richtlinie verlangt von Einrichtungen, „angemessene Maßnahmen zur Bewertung und Minderung von Lieferkettenrisiken zu ergreifen”. Koordinierte Bewertungen liefern Einrichtungen evidenzbasierte Informationen darüber, welche Lieferketten das größte Risiko darstellen und welche Minderungsmaßnahmen am wirksamsten sind.

Praktische Implikationen für regulierte Einrichtungen

Wenn Sie eine wesentliche oder wichtige Einrichtung sind, sollten koordinierte Bewertungen Ihre Beschaffungs- und Lieferantenverwaltungsprozesse informieren:

  • Bewertungsergebnisse überwachen. Abonnieren Sie Benachrichtigungen der ENISA und der Kommission über koordinierte Bewertungen. Wenn eine Bewertung für eine Lieferkette veröffentlicht wird, die für Ihren Sektor relevant ist, lesen Sie sie sorgfältig.
  • Lieferantenstrategie anpassen. Wenn eine Bewertung Konzentrationsrisiken oder geopolitische Bedenken identifiziert, passen Sie Ihre Beschaffungsstrategie an. Das könnte bedeuten, Lieferanten zu diversifizieren, Escrow-Vereinbarungen für Quellcode auszuhandeln oder in inländische Alternativen zu investieren.
  • Lieferantenstandards festlegen. Integrieren Sie die Erkenntnisse aus Bewertungen in Ihre Sicherheitsanforderungen an Lieferanten. Wenn eine Bewertung bestimmte Bedrohungen identifiziert, stellen Sie sicher, dass Ihre Lieferanten über Kontrollen verfügen, um diese anzugehen.
  • Für Alternativen planen. Wenn eine Bewertung feststellt, dass ein Lieferant mit einer Störung konfrontiert sein könnte, entwickeln Sie Notfallpläne. Können Sie zu einem alternativen Lieferanten wechseln? Können Sie einen Puffer kritischen Inventars aufrechterhalten? Können Sie kompensierende Kontrollen implementieren, wenn das Produkt des Lieferanten nicht mehr verfügbar ist?
  • Informationen teilen. Wenn Sie Einblicke in Lieferkettenrisiken haben, etwa wenn Sie Schwachstellen in einem weit verbreiteten Produkt entdeckt haben, teilen Sie diese mit Ihrer zuständigen Behörde oder der ENISA. Bewertungen profitieren von Industrieerkenntnissen.

Aufkommende Bewertungen und zukünftiger Fokus

Die Richtlinie legt nicht fest, welche Lieferketten zuerst bewertet werden. Wahrscheinliche Kandidaten umfassen jedoch:

  • Cloud-Computing-Dienste und -Infrastruktur: Cloud-Anbieter werden von nahezu allen kritischen Sektoren genutzt. Die Konzentration unter den großen Anbietern (Amazon, Microsoft, Google) schafft systemisches Risiko.
  • Halbleiter und Komponenten: Die Halbleiterfertigung ist auf wenige Länder und Anlagen konzentriert. Störungen haben kaskadierende Auswirkungen auf alle IKT-abhängigen Sektoren.
  • Software-Lieferketten: Die Log4j-Schwachstelle von 2021 zeigte, dass ein Fehler in einer einzigen Open-Source-Bibliothek Millionen von Systemen betreffen kann. Software-Lieferketten benötigen bessere Sichtbarkeit und Sicherheitspraktiken.
  • 5G und Telekommunikation: Aufbauend auf der bestehenden 5G-Bewertung wird NIS2 die Analyse der Telekommunikationslieferketten wahrscheinlich vertiefen, insbesondere angesichts geopolitischer Bedenken hinsichtlich der Ausrüstungslieferanten.
  • Managed Service Provider und Outsourcing: Da Einrichtungen mehr Cybersicherheit auslagern, werden Managed-Security-Service-Provider selbst Teil kritischer Lieferketten.

Wichtige Erkenntnisse

  • Artikel 22 der NIS2 etabliert einen Mechanismus für koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten, die von der Kooperationsgruppe, der Kommission und der ENISA durchgeführt werden.
  • Koordinierte Bewertungen untersuchen sowohl technische Risiken (Schwachstellen, Patch-Reaktionsfähigkeit) als auch nichttechnische Risiken (geopolitische Abhängigkeiten, Konzentration, Resilienz).
  • Bewertungen identifizieren kritische IKT-Dienste, -Systeme und -Produkte, die ein systemisches Risiko darstellen, sowie Minderungsmaßnahmen und bewährte Praktiken.
  • Bewertungsergebnisse informieren die Politik der Mitgliedstaaten, Durchführungsrechtsakte der Kommission und Entscheidungen im Lieferkettenrisikomanagement einzelner Einrichtungen.
  • Regulierte Einrichtungen sollten für ihren Sektor relevante Bewertungen überwachen, Lieferantenstrategien basierend auf den Ergebnissen anpassen und Bewertungsergebnisse nutzen, um Sicherheitsanforderungen an Lieferanten festzulegen.
  • Der anfängliche Fokus wird voraussichtlich auf Cloud-Diensten, Halbleitern, Software-Lieferketten, Telekommunikation und Managed Service Providern liegen.
Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.